Revisar o acesso de bucket usando o IAM Access Analyzer para S3 - Amazon Simple Storage Service
Quais informações o IAM Access Analyzer para S3 fornece?Habilitar o IAM Access Analyzer para S3Bloquear todo o acesso públicoRevisar e alterar o acesso ao bucketArquivar descobertas de bucketAtivar uma descoberta de bucket arquivadaVisualizar detalhes de descobertasBaixar um relatório do IAM Access Analyzer para S3

Revisar o acesso de bucket usando o IAM Access Analyzer para S3

O IAM Access Analyzer para S3 alerta você sobre buckets do S3 que são configurados para permitir o acesso a qualquer pessoa na internet ou a outras Contas da AWS, incluindo Contas da AWS fora da organização. Para cada bucket público ou compartilhado, você recebe descobertas sobre a origem e o nível de acesso público ou compartilhado. Por exemplo, o IAM Access Analyzer para S3 pode mostrar que um bucket tem acesso de leitura ou gravação fornecido por meio de uma lista de controle de acesso (ACL) de bucket, uma política de bucket, uma política de ponto de acesso multirregional ou uma política de ponto de acesso. Com essas descobertas, você pode tomar medidas corretivas imediatas e precisas para restaurar o acesso ao bucket da forma desejada.

Ao revisar um bucket em risco no IAM Access Analyzer para S3, é possível bloquear todo o acesso público ao bucket com um único clique. Recomendamos que você bloqueie todo o acesso aos buckets, a menos que exija acesso público para dar suporte a um caso de uso específico. Antes de bloquear todo o acesso público, certifique-se de que os aplicativos continuarão funcionando corretamente sem acesso público. Para obter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

Você também pode detalhar as configurações de permissão no nível do bucket para definir níveis granulares de acesso. Para casos de uso específicos e verificados que exigem acesso público, como hospedagem estática de sites, downloads públicos ou compartilhamento entre contas, você pode reconhecer e registrar sua intenção de que o bucket permaneça público ou compartilhado arquivando as descobertas do bucket. Você pode acessar novamente e modificar essas configurações de bucket a qualquer momento. Você também pode fazer download das descobertas como um relatório CSV para fins de auditoria.

O IAM Access Analyzer para S3 está disponível sem custo adicional no console do Amazon S3. O IAM Access Analyzer para S3 usa tecnologia do AWS Identity and Access Management (IAM) Access Analyzer. Para usar o IAM Access Analyzer para S3 no console do Amazon S3, é necessário acessar o console do IAM e habilitar o IAM Access Analyzer por região.

Para obter mais informações sobre o IAM Access Analyzer, consulte O que é o IAM Access Analyzer? no Guia do usuário do IAM. Para obter mais informações sobre o IAM Access Analyzer para S3, consulte as seções a seguir.

Importante

  • O IAM Access Analyzer para S3 requer um analisador de nível de conta. Para usar o IAM Access Analyzer para S3, é necessário acessar o IAM Access Analyzer e criar um analisador que tenha uma conta como a zona de confiança. Para obter mais informações, consulte Habilitar o IAM Access Analyzer no Guia do usuário do IAM.

  • O IAM Access Analyzer para S3 não analisa a política de ponto de acesso vinculada a pontos de acesso entre contas. Esse comportamento ocorre porque o ponto de acesso e sua política estão fora da zona de confiança, ou seja, fora da conta. Os buckets que delegam acesso a um ponto de acesso entre contas estão listados em Buckets with public access (Buckets com acesso público) caso você não tenha aplicado a configuração de bloqueio de acesso público RestrictPublicBuckets ao bucket ou à conta. Quando você aplica a configuração de bloqueio de acesso público RestrictPublicBuckets, o bucket é relatado em Buckets com acesso de outras Contas da AWS, inclusive Contas da AWS de terceiros.

  • Quando uma política de bucket ou a ACL do bucket é adicionada ou modificada, o IAM Access Analyzer gera e atualiza descobertas com base na alteração em até 30 minutos. As descobertas relacionadas às configurações de bloqueio de acesso público na conta podem não ser geradas nem atualizadas por até 6 horas após a alteração das configurações. As descobertas relacionadas a pontos de acesso multirregionais podem não ser geradas nem atualizadas até seis horas após o ponto de acesso multirregional ser criado, excluído ou você alterar sua política.

Quais informações o IAM Access Analyzer para S3 fornece?

O IAM Access Analyzer para S3 fornece descobertas para buckets que podem ser acessados fora da sua Conta da AWS. Os buckets listados em Buckets with public access (Buckets com acesso público) podem ser acessados por qualquer pessoa na internet. Se o IAM Access Analyzer para S3 identificar buckets públicos, você também verá um aviso na parte superior da página que mostra o número de buckets públicos na região. Os buckets listados em Buckets com acesso de outrasContas da AWS, inclusive Contas da AWS de terceiros são compartilhados condicionalmente com outras Contas da AWS, inclusive com contas fora de sua organização.

Para cada bucket, o IAM Access Analyzer para S3 fornece as seguintes informações:

  • Bucket name

  • Descoberto pelo Access Analyzer: quando o IAM Access Analyzer para S3 descobriu o acesso a bucket público ou compartilhado.

  • Compartilhado por: como o bucket é compartilhado, por meio de uma política de bucket, uma ACL de bucket ou uma política de ponto de acesso multirregional ou uma política de ponto de acesso. Pontos de acesso multirregionais e pontos de acesso entre contas são refletidos em pontos de acesso. Um bucket pode ser compartilhado por meio de políticas e ACLs. Se você quiser descobrir e analisar a origem do acesso ao bucket, poderá usar as informações nesta coluna como um ponto de partida para tomar medidas corretivas imediatas e precisas.

  • Status – O status da descoberta do bucket. O IAM Access Analyzer para S3 exibe descobertas para todos os buckets públicos e compartilhados.

    • Ativa – a descoberta não foi analisada.

    • Arquivada – a descoberta foi analisada e confirmada conforme pretendido.

    • All (Todas): todas as descobertas de buckets que são públicos ou compartilhados com outras Contas da AWS, incluindo Contas da AWS fora da sua organização.

  • Nível de acesso — permissões de acesso concedidas para o bucket:

    • Lista – lista de recursos.

    • Leitura – ler, mas não editar o conteúdo e os atributos do recurso.

    • Gravação – criar, excluir ou modificar recursos.

    • Permissões – conceder ou modificar permissões de recursos.

    • Atribuição de tags – atualizar as tags associadas ao recurso.

Habilitar o IAM Access Analyzer para S3

Para usar o IAM Access Analyzer para S3, é necessário concluir as etapas de pré-requisito a seguir.

  1. Conceda as permissões necessárias aos usuários.

    Para obter mais informações, consulte Permissões necessárias para usar o IAM Access Analyzer no Guia do usuário do IAM.

  2. Acesse o IAM para criar um analisador de nível de conta para cada região onde você deseja usar o IAM Access Analyzer.

    O IAM Access Analyzer para S3 requer um analisador de nível de conta. Para usar o IAM Access Analyzer para S3, é necessário criar um analisador que tenha uma conta como a zona de confiança. Para obter mais informações, consulte Habilitar o IAM Access Analyzer no Guia do usuário do IAM.

Bloquear todo o acesso público

Se você quiser bloquear todo o acesso a um bucket com um único clique, use o botão Bloquear todo o acesso público no IAM Access Analyzer para S3. Quando você bloquear todo o acesso público a um bucket, nenhum acesso público será concedido. Recomendamos que você bloqueie todo o acesso público aos buckets, a menos que exija acesso público para dar suporte a um caso de uso específico e verificado. Antes de bloquear todo o acesso público, certifique-se de que os aplicativos continuarão funcionando corretamente sem acesso público.

Se não quiser bloquear todo o acesso público ao bucket, você pode editar as configurações de bloqueio de acesso público no console do Amazon S3 para configurar níveis granulares de acesso aos buckets. Para ter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

Em eventos raros, o IAM Access Analyzer para S3 pode relatar nenhuma descoberta para um bucket que uma análise do Bloqueio de Acesso Público do Amazon S3 relata como público. Isso acontece porque o bloqueio de acesso público do Amazon S3 analisa as políticas de ações atuais e quaisquer ações potenciais que possam ser adicionadas no futuro, fazendo com que um bucket se torne público. Por outro lado, o IAM Access Analyzer para S3 analisa somente as ações atuais especificadas para o serviço do Amazon S3 na avaliação do status do acesso.

Para bloquear todo o acesso público a um bucket usando o IAM Access Analyzer para S3

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, em Dashboards (Painéis), escolha Access Analyzer for S3.

  3. No IAM Access Analyzer para S3, escolha um bucket.

  4. Selecione Block all public access (Bloquear todo o acesso público).

  5. Para confirmar sua intenção de bloquear todo o acesso público ao bucket, em Block all public access (bucket settings) (Bloquear todo o acesso público [configurações de bucket]), digite confirm.

    O Amazon S3 bloqueia todo o acesso público ao bucket. O status da descoberta do bucket é atualizado para resolvido e o bucket desaparece da listagem do IAM Access Analyzer para S3. Se você quiser revisar os buckets resolvidos, abra o IAM Access Analyzer no console do IAM.

Revisar e alterar o acesso ao bucket

Se você não pretendia conceder acesso às contas públicas ou outras Contas da AWS, incluindo contas fora da organização, você pode modificar a ACL de bucket, a política de bucket ou a política de ponto de acesso multirregional para remover o acesso ao bucket. A coluna Shared through (Compartilhado por) mostra todas as origens de acesso ao bucket: política de bucket, ACL de bucket e/ou política de ponto de acesso. Pontos de acesso multirregionais e pontos de acesso entre contas são refletidos em pontos de acesso.

Para revisar e alterar uma política de bucket, uma ACL de bucket, um ponto de acesso multirregional ou uma política de ponto de acesso

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. Para ver se o acesso público ou o acesso compartilhado é concedido por meio de uma política de bucket, uma ACL de bucket ou uma política de ponto de acesso multirregional, verifique a coluna Shared through (Compartilhado por).

  4. Em Buckets, escolha o nome do bucket com a política de bucket, a ACL de bucket ou a política de ponto de acesso multirregional que deseja alterar ou revisar.

  5. Se você quiser alterar ou exibir uma ACL de bucket:

    1. Escolha Permissions (Permissões).

    2. Escolha Access Control List.

    3. Revise a ACL de bucket e faça as alterações conforme necessário.

      Para obter mais informações, consulte Configurar ACLs.

  6. Se você quiser alterar ou revisar uma política de bucket:

    1. Escolha Permissions (Permissões).

    2. Escolha Bucket Policy.

    3. Revise ou altere a política de bucket conforme necessário.

      Para obter mais informações, consulte Adicionar uma política de bucket usando o console do Amazon S3.

  7. Se você quiser alterar ou exibir uma política de ponto de acesso multirregional:

    1. Escolha Multi-Region Access Point (Ponto de acesso multirregional).

    2. Escolha o nome do ponto de acesso multirregional.

    3. Revise ou altere a política de pontos de acesso multirregionais, conforme necessário.

      Para obter mais informações, consulte Permissões.

  8. Se você quiser revisar ou alterar uma política de ponto de acesso:

    1. Escolha access points (pontos de acesso).

    2. Escolha o nome do ponto de acesso.

    3. Revise ou altere o acesso conforme necessário.

      Para obter mais informações, consulte Como usar pontos de acesso do Amazon S3 com o console do Amazon S3.

    Se você editar ou remover uma ACL de bucket, uma política de bucket ou uma política de ponto de acesso para remover o acesso público ou compartilhado, o status das descobertas do bucket será atualizado para resolved (resolvido). As descobertas de bucket resolvidas desaparecem da lista do IAM Access Analyzer para S3, mas é possível visualizá-las no IAM Access Analyzer.

Arquivar descobertas de bucket

Se um bucket conceder acesso a contas públicas ou outras Contas da AWS, inclusive contas fora da organização, para comportar um caso de uso específico (por exemplo, um site estático, downloads públicos ou compartilhamento entre contas), você poderá arquivar a descoberta do bucket. Ao arquivar descobertas de bucket, você reconhece e registra sua intenção de que o bucket permaneça público ou compartilhado. As descobertas de bucket arquivadas permanecem na listagem do IAM Access Analyzer para S3 para que você sempre saiba quais buckets são públicos ou compartilhados.

Como arquivar descobertas de bucket no IAM Access Analyzer para S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. No IAM Access Analyzer para S3, escolha um bucket ativo.

  4. Para confirmar sua intenção de que esse bucket seja acessado pelas contas públicas ou outras Contas da AWS, inclusive contas fora da organização, escolha Archive (Arquivar).

  5. Digite confirm e escolha Archive (Arquivar).

Ativar uma descoberta de bucket arquivada

Depois de arquivar descobertas, você sempre poderá revisitá-las e alterar o status novamente para ativo, indicando que o bucket requer outra análise.

Como ativar uma descoberta de bucket arquivado no IAM Access Analyzer para S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. Escolha as descobertas do bucket arquivadas.

  4. Escolha Mark as active (Marcar como ativo).

Visualizar detalhes de descobertas

Se você precisar ver mais informações sobre um bucket, poderá abrir os detalhes de descobertas de bucket no IAM Access Analyzer no console do IAM.

Para visualizar detalhes de descoberta no IAM Access Analyzer para S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. No IAM Access Analyzer para S3, escolha um bucket.

  4. Escolha View details (Exibir detalhes).

    Os detalhes de descobertas são abertos no IAM Access Analyzer no console do IAM.

Baixar um relatório do IAM Access Analyzer para S3

Você pode fazer download das descobertas de bucket como um relatório CSV que pode ser usado para fins de auditoria. O relatório inclui as mesmas informações que você vê no IAM Access Analyzer para S3 no console do Amazon S3.

Como fazer download de um relatório

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Access Analyzer for S3 (Analisador de acesso para S3).

  3. No filtro Região, escolha a região.

    O IAM Access Analyzer para S3 é atualizado para mostrar buckets para a região escolhida.

  4. Escolha Download report (Fazer download do relatório).

    Um relatório CSV é gerado e salvo no computador.